O vulnerabilitate a aplicației TikTok ar fi putut permite atacatorilor să obțină datele personale ale utilizatorilor

Vulnerabilitatea ar fi putut permite atacatorilor să interogheze întreaga bază de date TikTok și să descopere asocierea numerelor de telefon ale utilizatorilor cu ID-urile de utilizator și alte date personale.
TikTok este deținută de către ByteDance și are peste 800 de milioane de utilizatori activi în întreaga lume. Vulnerabilitatea, care a fost raportată și remediată înainte de a fi făcută public, se regăsea în funcția Find friends a aplicației. Această funcție permitea utilizatorilor să-și găsească cunoscuții prin Facebook sau contactele din telefon. Mai exact, este vorba despre o funcție de sincronizare care permitea asocierea numărului de telefon cu detaliile profilului de utilizator.
Check Point Research, a declarat că această vulnerabilitate ar fi putut permite unui atacator să construiască o bază de date cu detalii despre utilizatori și numerele de telefon ale acestora, reușind să efectueze o serie de acțiuni precum spear phishing sau alte tehnici de social engineering.
Pentru a lansa un atac este necesară ocolirea mecanismul HTTP message signing al TikTok. Utilizând un tool precum Frida, un atacator ar putea accesa funcția, ar putea schimba argumentele acesteia și să semneze din nou solicitarea pentru a o trimite către serverul TikTok. De aici, un atacator ar putea automatiza procesul de încărcare și sincronizare a contactelor la scară largă, permițând construirea unei baze de date cu utilizatori și numerele de telefon asociate acestora. De asemenea, atacatorii pot accesa și alte detalii de profil precum nickname-ul asociat contului, imaginea de profil, ID-ul de utilizator unic, dar și anumite setări de profil, cum ar fi tipul de utilizator: follower sau hidden.
Trebuie specificat faptul că această vulnerabilitate putea afecta doar utilizatorii care au ales să își asocieze numărul de telefon contului sau care s-au conectat cu un număr de telefon, niciuna dintre aceste opțiuni fiind obligatorie pentru utilizatori. Cercetătorii de la Check Point au comunicat dezvăluirile lor către ByteDance, care a implementat deja o soluție. În prezent, sub funcția Find friends, utilizatorii își pot invita prietenii în loc să descopere ce contacte din telefon au conturi TikTok.
În trecut, această platformă a declanșat controverse pentru politicile sale de confidențialitate. Cea mai gravă vulnerabilitate descoperită le putea permite atacatorilor să preia controlul anumitor funcții ale conturilor victimelor, mai exact încărcarea sau ștergerea de conținut video și modificarea setărilor conținutului din hidden în public.
Sursa: https://threatpost.com/tiktok-flaw-phishing-attacks/163322/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică